Este playbook fornece etapas de correção sistemática para investigar incidentes suspeitos de serem causados pelo Mimkatz DCShendow. DCSombra é um recurso do Mimakatz que simula o comportamento de um controlador de domínio (um servidor que controla o Active Directory) para injetar seus próprios dados, ignorando a maioria dos controles de segurança padrão (incluindo SIEMs).

O MIMIKATZ DC SHADOW ajuda o invasor a estabelecer um controlador de domínio (DC) desonesto que se torna parte do Active Directory (AD). Depois de registrado, ele pode atuar como um DC legítimo e causar danos.